如何指定Tomcat7 WAR的密鑰庫位置？

Question

我在我的文件系統下有一個自定義的JKS文件（密鑰庫），在/opt/myapp/keystore/myapp.jks下，並且我正在部署一個需要使用它的Tomcat7的myapp.war。

如果這是一個可執行的JAR文件（而不是WAR），我可能會做這樣的事情：

java -jar myapp.jar -Djavax.net.ssl.keyStore=/opt/myapp/keystore/myapp.jks 
    -Djavax.net.ssl/keyStorePassword=mypasswd 

如何/我在哪裏完成同樣的Tomcat7？

Answer 1

您可以到conf/server.xml文件添加SSL連接器如下面的例子：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
       maxThreads="150" scheme="https" secure="true" 
       keyAlias="your-cert-key" keystoreFile="your-keystore-path.keystore" 
       keystorePass="yourpassword" 
       clientAuth="false" sslProtocol="TLS" /> 

Answer 2

有多種選擇。

• 如果你很高興有這些設置是由你的JVM全局訪問，包括所有的Tomcat容器中運行的戰爭（但可能不包括服務器連接器本身，因爲它可以單獨配置） ，請在catalina啓動腳本（.sh或.bat，具體取決於平臺）中將這些選項添加到JAVA_OPTS中。這並不理想，因爲在該JVM中運行的任何代碼都可以訪問該密鑰庫，因此您需要確保它是可接受的。

• 如果你可以改變的代碼，你可以初始化爲無論是用它單獨SSLContext S（你可以從它那裏得到了SSLEngine或SSLSocketFactory，使用它可以建立SSLSocket S或初始化一個HttpsUrlConnection）。沿着這些線路的東西應該工作：

  // Load the key store: change store type if needed 
  KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType()); 
  FileInputStream fis = new FileInputStream("/path/to/keystore"); 
  try { 
      ks.load(fis, keystorePassword); 
  } finally { 
      if (fis != null) { fis.close(); } 
  } 
  
  SSLContext sslContext = SSLContext.getInstance("TLS"); 
  // the second "null" argument will let you use the default trust manager settings. 
  sslContext.init(kmf.getKeyManagers(), null, null); 
  
  SSLSocketFactory sslSocketFactory = sslContext.getSSLSocketFactory(); 
  

  你可以你的web應用，而不是一個FileInputStream內加載從資源密鑰庫，或者通過JNDI，這取決於你想如何配置你的總體格局。